(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210975719.1 (22)申请日 2022.08.15 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 李佳聪　吕航　雷波　 (74)专利代理 机构 北京律智知识产权代理有限 公司 11438 专利代理师 孙宝海 (51)Int.Cl. H04L 9/40(2022.01) H04L 69/22(2022.01) (54)发明名称 数据安全传输方法、 系统、 设备及存 储介质 (57)摘要 本发明提供了一种数据安全传输方法、 系 统、 设备及存储介质， 所述方法包括步骤： 用户网 关设备向算力网关设备发送安全通道建立请求； 算力网关设备将第一预设字段信息封装于扩展 头中， 得到第一报文， 并将第一报文发送至用户 网关设备； 用户网关设备对第一报文进行校验， 在校验通过时， 与算力网关设备建立安全传输通 道； 用户网关设备生成对称密钥， 基于对称密钥 对目标数据进行加密， 以及对对称密钥进行加密 后封装于扩展头中， 封装得到第二报文， 将第二 报文发送至算力网关设备； 算力网关设备解密获 得对称密钥， 基于对称密钥对第二报文进行解 密， 得到所述目标数据； 本申请以一种低成本的 方式解决了多租户访问算力资源的安全问题。 权利要求书3页 说明书14页 附图10页 CN 115333839 A 2022.11.11 CN 115333839 A 1.一种数据安全传输方法， 其特征在于， 用于在用户网关设备和算力网关设备之间传 输报文， 所述报文的报文头中设有扩展头； 所述方法包括以下步骤： 用户网关设备向算力网关设备发送安全通道建立请求； 所述安全通道建立请求中包含 第一预设字段信息； 算力网关设备将所述第一预设字段信息封装于所述扩展头中， 得到第一报文， 并将所 述第一报文发送至用户网关 设备； 用户网关设备对所述第一报文进行校验， 在校验通过时， 与所述算力网关设备建立安 全传输通道； 用户网关设备生成对称密钥， 基于所述对称密钥对目标数据进行加密， 以及对所述对 称密钥进行加密后封装于所述扩展头中， 封装得到第二报文， 将所述第二报文基于所述安 全传输通道发送至算力网关 设备； 算力网关设备解密获得所述对称密钥， 基于所述对称密钥对所述第二报文进行解密， 得到所述目标 数据。 2.如权利要求1所述的数据安全传输方法， 其特征在于， 所述算力网关设备将所述第 一 预设字段信息 封装于所述扩展头中， 得到第一报文， 包括： 算力网关 设备基于所述第一预设字段信息， 计算得到第一预设字段 校验值； 算力网关 设备将所述第一预设字段 校验值封装于所述扩展头中， 得到第一报文； 所述用户网关 设备对所述第一报文 进行校验， 包括： 用户网关设备解析所述第一报文， 得到所述第一预设字段校验值； 并生成第一预设字 段原始值， 基于所述第一预设字段校验值和所述第一预设字段原始 值对所述第一报文进 行 校验。 3.如权利要求2所述的数据安全传输方法， 其特征在于， 所述在校验通过时， 与所述算 力网关设备建立 安全传输通道， 包括： 当所述第一预设字段校验值和所述第 一预设字段原始值相同时， 所述第 一报文校验通 过。 4.如权利要求1所述的数据安全传输方法， 其特征在于， 所述基于所述对称密钥对目标 数据进行加密， 以及 对所述对称密钥进 行加密后封装于所述扩展头中， 封装得到第二报文， 包括： 基于所述对称密钥对目标数据进行加密后封装于数据字段中， 以及对所述对称密钥进 行加密后封装于所述扩展头中， 得到第二报文； 所述算力网关设备解密获得所述对称密钥， 基于所述对称密钥对所述第 二报文进行解 密， 得到所述目标 数据， 包括： 所述算力网关设备对第二报文的扩展头进行解密， 获得所述对称密钥； 并基于所述对 称密钥对所述第二报文的数据字段进行解密， 得到所述目标 数据。 5.如权利要求2所述的数据安全传输方法， 其特征在于， 所述算力网关设备将所述第 一 预设字段信息 封装于所述扩展头中， 得到第一报文， 包括： 基于第三方认证中心生成成对的第 一公钥和第 一私钥， 将所述第 一公钥发送至用户网 关设备， 将所述第一私钥发送至算力网关 设备； 算力网关设备基于所述第 一私钥对所述第 一预设字段校验值进行加密后， 封装于所述权　利　要　求　书 1/3 页 2 CN 115333839 A 2扩展头中； 所述用户网关 设备对所述第一报文 进行校验， 包括： 用户网关 设备基于所述第一公钥对所述第一预设字段 校验值进行解密。 6.如权利要求5所述的数据安全传输方法， 其特征在于， 所述算力网关设备将所述第 一 预设字段信息 封装于所述扩展头中， 得到第一报文， 包括： 算力网关设备随机生成成对的第二公钥和第二私钥， 将所述第二私钥存储在本地， 基 于所述第一私钥对所述第二公钥进行加密后封装于所述扩展头中； 所述用户网关设备生成对称密钥， 基于所述对称密钥对目标数据进行加密， 以及对所 述对称密钥进行加密后封装于所述扩展头中， 封装得到第二报文， 包括： 用户网关设备基于所述第一公钥对加密后的所述第二公钥进行解密后， 得到第二公 钥； 用户网关 设备基于所述第二公钥对所述对称密钥进行加密后封装于所述扩展头中； 所述算力网关 设备解密获得 所述对称密钥， 包括： 算力网关 设备基于所述第二私钥， 对加密后的对称密钥解密， 获得 所述对称密钥。 7.如权利要求1所述的数据安全传输方法， 其特征在于， 所述第 一报文的报文头的扩展 头中包含第二预设字段对应的字段值； 在所述用户网关设备对所述第一报文进行校验之 前， 所述方法还 包括： 用户网关设备基于所述第 二预设字段对应的字段值， 判断所述第 一报文是否属于预设 安全类型； 当用户网关 设备确定所述第一报文属于预设安全类型时， 对所述第一报文 进行校验。 8.如权利要求1所述的数据安全传输方法， 其特征在于， 在所述用户网关设备向算力网 关设备发送安全通道建立请求之前， 所述方法还 包括： 分别获取用户网关 设备与算力网关 设备的安全级别； 当所述用户网关设备的安全级别低于所述算力网关设备的安全级别时， 且所述用户网 关设备经过预设认证流程认证成功后， 用户网关设备向算力网关设备发送安全通道建立请 求。 9.如权利要求1所述的数据安全传输方法， 其特征在于， 第 一预设字段信 息为用户身份 信息； 所述方法还 包括： 算力网关设备将所述目标数据存储至服务器的与 所述用户身份信 息对应的资源节点； 所述算力网关 设备与所述 服务器建立有通信连接 。 10.一种数据安全传输系统， 用于实现如权利要求1所述的数据安全传输方法， 其特征 在于， 所述系统包括： 安全通道请求模块， 用户网关设备向算力网关设备发送安全通道建立请求； 所述安全 通道建立请求中包 含第一预设字段信息； 第一报文封装发送模块， 算力网关设备将所述第一预设字段信息封装于所述扩展头 中， 得到第一报文， 并将所述第一报文发送至用户网关 设备； 安全通道建立模块， 用户网关设备对所述第一报文进行校验， 在校验通过时， 与所述算 力网关设备建立 安全传输通道； 第二报文封装发送模块， 用户网关设备生成对称密钥， 基于所述对称密钥对目标数据权　利　要　求　书 2/3 页 3 CN 115333839 A 3